Obsługa wielu domen na potrzeby federacji z identyfikatorem Entra firmy Microsoft
Poniższa dokumentacja zawiera wskazówki dotyczące używania wielu domen najwyższego poziomu i domen podrzędnych podczas federacji z domenami platformy Microsoft 365 lub Microsoft Entra.
Obsługa wielu domen najwyższego poziomu
Federowanie wielu domen najwyższego poziomu za pomocą identyfikatora Entra firmy Microsoft wymaga dodatkowej konfiguracji, która nie jest wymagana w przypadku federacji z jedną domeną najwyższego poziomu.
Gdy domena jest sfederowane z identyfikatorem Entra firmy Microsoft, kilka właściwości jest ustawionych w domenie na platformie Azure. Jednym z ważnych jest identyfikator IssuerUri. Ta właściwość jest identyfikatorem URI używanym przez identyfikator firmy Microsoft Entra do identyfikowania domeny, z którą jest skojarzony token. Identyfikator URI nie musi być rozpoznawany jako dowolny, ale musi być prawidłowym identyfikatorem URI. Domyślnie identyfikator Entra firmy Microsoft ustawia identyfikator URI na wartość identyfikatora usługi federacyjnej w lokalnej konfiguracji usług AD FS.
Uwaga
Identyfikator usługi federacyjnej jest identyfikatorem URI, który jednoznacznie identyfikuje usługę federacyjną. Usługa federacyjna jest wystąpieniem usług AD FS, które działa jako usługa tokenu zabezpieczającego.
Identyfikator IssuerUri można wyświetlić za pomocą polecenia Get-MsolDomainFederationSettings -DomainName <your domain>
programu PowerShell .
Uwaga
Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.
Występuje problem podczas dodawania więcej niż jednej domeny najwyższego poziomu. Załóżmy na przykład, że skonfigurowaliśmy federację między identyfikatorem Entra firmy Microsoft i środowiskiem lokalnym. W tym dokumencie używana jest domena bmcontoso.com. Teraz dodano drugą domenę najwyższego poziomu bmfabrikam.com.
Podczas próby przekonwertowania domeny bmfabrikam.com na federacyjną wystąpi błąd. Przyczyną jest to, że identyfikator Entra firmy Microsoft ma ograniczenie, które nie zezwala właściwości IssuerUri na taką samą wartość dla więcej niż jednej domeny.
SupportMultipleDomain , parametr
Aby obejść to ograniczenie, należy dodać inny identyfikator IssuerUri, który można wykonać za pomocą parametru -SupportMultipleDomain
. Ten parametr jest używany z następującymi poleceniami cmdlet:
New-MsolFederatedDomain
Convert-MsolDomaintoFederated
Update-MsolFederatedDomain
Ten parametr sprawia, że identyfikator Entra firmy Microsoft konfiguruje identyfikator wystawcy, tak aby był oparty na nazwie domeny. Identyfikator IssuerUri będzie unikatowy dla katalogów w identyfikatorze Entra firmy Microsoft. Użycie parametru umożliwia pomyślne ukończenie polecenia programu PowerShell.
-SupportMultipleDomain
nie zmienia innych punktów końcowych, które są nadal skonfigurowane tak, aby wskazywały usługę federacyjną na adfs.bmcontoso.com.
-SupportMultipleDomain
Zapewnia również, że system usług AD FS zawiera odpowiednią wartość wystawcy w tokenach wystawionych dla identyfikatora Entra firmy Microsoft. Ta wartość jest ustawiana przez pobranie części domeny nazwy UPN użytkownika i użycie jej jako domeny w identyfikatorze IssuerUri, czyli https://{upn suffix}/adfs/services/trust
.
W związku z tym podczas uwierzytelniania w usłudze Microsoft Entra ID lub Microsoft 365 element IssuerUri w tokenie użytkownika jest używany do lokalizowania domeny w identyfikatorze Entra firmy Microsoft. Jeśli nie można odnaleźć dopasowania, uwierzytelnianie zakończy się niepowodzeniem.
Jeśli na przykład nazwa UPN użytkownika to bsimon@bmcontoso.com, element IssuerUri w tokenie, wystawca usług AD FS, ma wartość http://bmcontoso.com/adfs/services/trust
. Ten element jest zgodny z konfiguracją firmy Microsoft Entra i uwierzytelnianie powiedzie się.
Następująca niestandardowa reguła oświadczeń implementuje tę logikę:
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)", "http://${domain}/adfs/services/trust/"));
Ważne
Aby można było użyć przełącznika -SupportMultipleDomain podczas próby dodania nowych lub przekonwertowania już istniejących domen, twoje federacyjne zaufanie musi już zostać skonfigurowane w celu ich obsługi.
Jak zaktualizować relację zaufania między usługami AD FS i identyfikatorem entra firmy Microsoft
Jeśli nie skonfigurowaliśmy relacji zaufania federacyjnego między usługami AD FS i wystąpieniem identyfikatora Entra firmy Microsoft, może być konieczne ponowne utworzenie tego zaufania. Przyczyną jest to, że gdy jest ona pierwotnie skonfigurowana bez parametru -SupportMultipleDomain
, identyfikator IssuerUri jest ustawiany z wartością domyślną. Na poniższym zrzucie ekranu widać, że wartość IssuerUri jest ustawiona na https://adfs.bmcontoso.com/adfs/services/trust
.
Jeśli pomyślnie dodano nową domenę w centrum administracyjnym firmy Microsoft Entra, a następnie spróbujesz ją przekonwertować przy użyciu Convert-MsolDomaintoFederated -DomainName <your domain>
polecenia , zostanie wyświetlony następujący błąd.
Jeśli spróbujesz dodać -SupportMultipleDomain
przełącznik, zostanie wyświetlony następujący błąd:
Po prostu próba uruchomienia Update-MsolFederatedDomain -DomainName <your domain> -SupportMultipleDomain
w oryginalnej domenie spowoduje również błąd.
Wykonaj poniższe kroki, aby dodać dodatkową domenę najwyższego poziomu. Jeśli już dodano domenę i nie użyto parametru -SupportMultipleDomain
, zacznij od kroków usuwania i aktualizowania oryginalnej domeny. Jeśli jeszcze nie dodano domeny najwyższego poziomu, możesz rozpocząć od kroków dodawania domeny przy użyciu programu PowerShell programu Microsoft Entra Connect.
Wykonaj poniższe kroki, aby usunąć zaufanie usługi Microsoft Online i zaktualizować oryginalną domenę.
- Na serwerze federacyjnym usług AD FS otwórz przystawkę Zarządzanie usługami AD FS.
- Po lewej stronie rozwiń węzeł Relacje zaufania i Relacje jednostki uzależnionej.
- Po prawej stronie usuń wpis Platforma tożsamości usługi Microsoft Office 365.
- Na maszynie z zainstalowanym modułem programu Azure AD PowerShell uruchom następujący program PowerShell:
$cred=Get-Credential
. - Wprowadź nazwę użytkownika i hasło administratora tożsamości hybrydowej dla domeny firmy Microsoft Entra, z którą się sfederujesz.
- W programie PowerShell wprowadź .
Connect-MsolService -Credential $cred
- W programie PowerShell wprowadź .
Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -SupportMultipleDomain
Ta aktualizacja dotyczy oryginalnej domeny. Dlatego użycie powyższych domen będzie następujące:Update-MsolFederatedDomain -DomainName bmcontoso.com -SupportMultipleDomain
Wykonaj poniższe kroki, aby dodać nową domenę najwyższego poziomu przy użyciu programu PowerShell
- Na maszynie z zainstalowanym modułem programu Azure AD PowerShell uruchom następujący program PowerShell:
$cred=Get-Credential
. - Wprowadź nazwę użytkownika i hasło administratora tożsamości hybrydowej dla domeny firmy Microsoft Entra, z którą sfederujesz
- W programie PowerShell wprowadź
Connect-MsolService -Credential $cred
- W programie PowerShell wprowadź
New-MsolFederatedDomain –SupportMultipleDomain –DomainName
Wykonaj poniższe kroki, aby dodać nową domenę najwyższego poziomu przy użyciu programu Microsoft Entra Connect.
- Uruchom program Microsoft Entra Connect z poziomu pulpitu lub menu Start
- Wybierz pozycję "Dodaj dodatkową domenę firmy Microsoft Entra"
- Wprowadź identyfikator entra firmy Microsoft i poświadczenia usługi Active Directory
- Wybierz drugą domenę, którą chcesz skonfigurować dla federacji.
- Kliknięcie pozycji Zainstaluj
Weryfikowanie nowej domeny najwyższego poziomu
Za pomocą polecenia Get-MsolDomainFederationSettings -DomainName <your domain>
programu PowerShell można wyświetlić zaktualizowany identyfikator IssuerUri. Poniższy zrzut ekranu przedstawia ustawienia federacji, które zostały zaktualizowane w oryginalnej domenie http://bmcontoso.com/adfs/services/trust
Identyfikator IssuerUri w nowej domenie został ustawiony na wartość https://bmcontoso.com/adfs/services/trust
Obsługa poddomen
Po dodaniu poddomeny ze względu na sposób obsługi domen entra firmy Microsoft dziedziczy ustawienia elementu nadrzędnego. Dlatego identyfikator IssuerUri musi być zgodny z elementami nadrzędnymi.
Załóżmy na przykład, że mam bmcontoso.com, a następnie dodaję corp.bmcontoso.com. Identyfikator IssuerUri dla użytkownika z corp.bmcontoso.com musi mieć wartość http://bmcontoso.com/adfs/services/trust
. Jednak reguła standardowa zaimplementowana powyżej dla identyfikatora Entra firmy Microsoft generuje token z wystawcą jako http://corp.bmcontoso.com/adfs/services/trust
, który nie będzie zgodny z wymaganą wartością domeny i uwierzytelnianie nie powiedzie się.
Jak włączyć obsługę poddomen
Aby obejść to zachowanie, należy zaktualizować zaufanie jednostki uzależnionej usług AD FS dla usługi Microsoft Online. W tym celu należy skonfigurować niestandardową regułę oświadczenia, tak aby usuwała wszystkie poddomeny z sufiksu nazwy UPN użytkownika podczas konstruowania niestandardowej wartości wystawcy.
Użyj następującego oświadczenia:
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));
[! UWAGA] Ostatnia liczba w zestawie wyrażeń regularnych to liczba domen nadrzędnych w domenie głównej. W tym bmcontoso.com jest używana, więc konieczne są dwie domeny nadrzędne. Gdyby trzy domeny nadrzędne były przechowywane (tj. corp.bmcontoso.com), liczba byłaby trzy. W końcu można wskazać zakres, dopasowanie jest wykonywane w celu dopasowania do maksymalnej liczby domen. "{2,3}" pasuje do dwóch do trzech domen (czyli bmfabrikam.com i corp.bmcontoso.com).
Wykonaj poniższe kroki, aby dodać oświadczenie niestandardowe do obsługi poddomen.
- Otwórz zarządzanie usługami AD FS
- Kliknij prawym przyciskiem myszy zaufanie dostawcy usług online firmy Microsoft i wybierz polecenie Edytuj reguły oświadczeń
- Wybierz trzecią regułę oświadczenia i zastąp
- Zastąp bieżące oświadczenie:
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)","http://${domain}/adfs/services/trust/"));
with
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));
- Kliknij przycisk OK. Kliknij Zastosuj. Kliknij przycisk OK. Zamknij przystawkę zarządzania usługami AD FS.
Następne kroki
Po zainstalowaniu programu Microsoft Entra Connect możesz zweryfikować instalację i przypisać licencje.
Dowiedz się więcej o tych funkcjach, które zostały włączone z instalacją: Automatyczne uaktualnianie, Zapobieganie przypadkowym usunięciom i Microsoft Entra Connect Health.
Dowiedz się więcej na te popularne tematy: harmonogram i sposób włączania synchronizacji.
Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.